Limitaciones de control - AWS Control Tower

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Limitaciones de control

Una nueva guía de referencia de controles

La información sobre los controles AWS de la Torre de Control se ha trasladado a la Guía de referencia de los controles de la Torre de AWS Control.

Si modifica los recursos de la Torre de AWS Control, como unSCP, o elimina algún AWS Config recurso, como una grabadora o un agregador de Config, la Torre de AWS Control ya no puede garantizar que los controles funcionen según lo diseñado. Por lo tanto, la seguridad de su entorno de múltiples cuentas puede verse comprometida. El modelo de seguridad de responsabilidad AWS compartida se aplica a todos los cambios que realice.

nota

AWSControl Tower ayuda a mantener la integridad de tu entorno al restablecer SCPs los controles a su configuración estándar cuando actualizas tu landing zone. Los cambios que haya realizado SCPs se sustituirán por la versión estándar del control, por diseño.

Algunos controles de la Torre de AWS Control no funcionan en algunos Regiones de AWS lugares donde la Torre de AWS Control está disponible, porque esas regiones no admiten la funcionalidad subyacente requerida. Esta limitación afecta a determinados controles de detección, a determinados controles proactivos y a determinados controles del Estándar gestionado por el Servicio Security Hub: AWS Control Tower. Para obtener más información sobre la disponibilidad regional, consulte la documentación de la lista de servicios regionales y la documentación de referencia de controles del Security Hub.

El comportamiento de control también está limitado en el caso de una gobernanza mixta. Para obtener más información, consulte Evite la gobernanza mixta al configurar las regiones.

Para obtener más información sobre cómo la Torre de AWS Control gestiona las limitaciones de las regiones y los controles, consulteConsideraciones a la hora de activar las regiones con AWS suscripción.

Cómo encontrar los controles y las regiones disponibles

Puedes ver las regiones disponibles para cada control en la consola de la Torre de AWS Control. Puede ver las regiones disponibles mediante programación ListControls APIs desde GetControl y desde el Catálogo de AWS Control.

Consulte también la tabla de referencia de los controles de la Torre de AWS Control y las regiones compatibles, Disponibilidad de los controles por región, en la Guía de referencia de los controles de la Torre de AWS Control.

nota

Para obtener la información más actualizada sobre los controles y el soporte regional, le recomendamos que se ponga en contacto con el GetControldepartamento de ListControlsAPIoperaciones.

Lo siguiente Regiones de AWS no admite los controles proactivos.

  • Oeste de Canadá (Calgary)

La siguiente tabla muestra los controles proactivos que no son compatibles en algunos casos Regiones de AWS.

Identificador de control Regiones no compatibles

CT.REDSHIFT.PR.5

ap-southeast-4, ap-south-2, ap-southeast-3, eu-central-2, eu-sur-2, il-central-1, me-central-1

CT.DAX.PR.2

us-west-1

CT.GLUE.PR.2

No se admite

La siguiente tabla muestra los controles de detección de la Torre de AWS Control Tower que no son compatibles en algunos casos Regiones de AWS.

Identificador de control Regiones no compatibles

AWS-GR_AUTOSCALING_LAUNCH_CONFIG_PUBLIC_IP_DISABLED

ap-northeast-3, ap-southeast-3, il-central-1, ap-southeast-4, ca-west-1

AWS-GR_LAMBDA_FUNCTION_PUBLIC_ACCESS_PROHIBITED

eu-south-2

AWS-GR_EMR_MASTER_NO_PUBLIC_IP

ap-northeast-3, ap-southeast-3, af-south-1, eu-sur-1, il-central-1, me-central-1, eu-sur-2, ap-south-2, eu-central-2, ap-south-2, eu-central-2, ap-southeast-4 ast-4, ca-west-1

AWS-GR_EBS_SNAPSHOT_PUBLIC_RESTORABLE_CHECK

eu-south-2

AWS-GR_NO_UNRESTRICTED_ROUTE_TO_IGW

ap-northeast-3, ap-southeast-3, ap-south-2, eu-south-2, ca-west-1

AWS-GR_SAGEMAKER_NOTEBOOK_NO_DIRECT_INTERNET_ACCESS

ap-northeast-3, ap-southeast-3, af-south-1, eu-sur-1, il-central-1, me-central-1, eu-sur-2, ap-south-2, eu-central-2, ap-south-2, eu-central-2, ap-southeast-4 ast-4, ca-west-1

AWS-GR_EC2_INSTANCE_NO_PUBLIC_IP

ap-northeast-3

AWS-GR_EKS_ENDPOINT_NO_PUBLIC_ACCESS

ap-northeast-3, ap-southeast-3, af-south-1, eu-south-1, us-west-1, il-central-1, me-central-1, me-central-1, eu-sur-2, ap-south-2, eu-central-2, ap-south-2 ap-southeast-4, ca-west-1

AWS-GR_ELASTICSEARCH_IN_VPC_ONLY

ap-southeast-3, il-central-1, eu-sur-2, ap-south-2, eu-central-2, ap-southeast-4, ca-west-1

AWS-GR_RESTRICTED_SSH

af-south-1, ap-northeast-3, ap-sur-2, ap-southeast-3, ap-southeast-4, eu-central-2, eu-sur-1, eu-sur-2, eu-sur-2, il-central-1, me-central-1 al-1

AWS-GR_DMS_REPLICATION_NOT_PUBLIC

af-south-1, ap-south-2, ap-southeast-3, ap-southeast-4, eu-central-2, eu-sur-1, eu-sur-2, il-central-1, me-central-1, ca-west-1

AWS-GR_RDS_SNAPSHOTS_PUBLIC_PROHIBITED

af-south-1, ap-southeast-4, eu-central-2, eu-sur-1, eu-south-2, il-central-1

AWS-GR_SUBNET_AUTO_ASSIGN_PUBLIC_IP_DISABLED

ap-northeast-3

AWS-GR_ENCRYPTED_VOLUMES

af-south-1, ap-northeast-3, eu-south-1, il-central-1

AWS-GR_RESTRICTED_COMMON_PORTS

af-south-1, ap-northeast-3, eu-central-2, eu-sur-1, eu-sur-2, il-central-1, me-central-1

AWS-GR_IAM_USER_MFA_ENABLED

il-central-1, me-central-1, eu-sur-2, ap-sur-2, eu-central-2, ap-southeast-4, ca-west-1

AWS-GR_MFA_ENABLED_FOR_IAM_CONSOLE_ACCESS

il-central-1, me-central-1, eu-sur-2, ap-sur-2, eu-central-2, ap-southeast-4, ca-west-1

AWS-GR_SSM_DOCUMENT_NOT_PUBLIC

il-central-1, ca-west-1

AWS-GR_ROOT_ACCOUNT_MFA_ENABLED

il-central-1, me-central-1, ca-west-1

AWS-GR_S3_ACCOUNT_LEVEL_PUBLIC_ACCESS_BLOCKS_PERIODIC

il-central-1, eu-sur-2, eu-central-2

AWS-GR_RDS_STORAGE_ENCRYPTED

eu-central-2, eu-sur-2

AWS-GR_RDS_INSTANCE_PUBLIC_ACCESS_CHECK

ap-south-2, eu-sur-2

AWS-GR_REDSHIFT_CLUSTER_PUBLIC_ACCESS_CHECK

ap-south-2, ap-southeast-3, eu-south-2, ca-west-1

AWS-GR_EC2_VOLUME_INUSE_CHECK

ca-west-1

AWS-GR_EBS_OPTIMIZED_INSTANCE

ca-west-1